GoDaddy es una de las registradoras de dominios y suministradoras de servicios de hosting más conocidas del mundo. Con más de siete mil trabajadores repartidos por todo el mundo, está obligada a tener una política corporativa que enfatice en la ciberseguridad, como es lógico, ya que sus clientes pueden tener alojados en sus servidores, datos de naturaleza sensible.
El pasado 14 de diciembre, los trabajadores de GoDaddy recibieron un mensaje de correo electrónico procedente de una dirección de la empresa (Happyholiday@Godaddy.com) en el cual se les comunicaba que recibían un bono de productividad de 650 dólares. Para beneficiarse de esta paga extra, antes los trabajadores debían facilitar unos datos a la empresa, antes del 18 de diciembre.
La sorpresa fue general cuando, dos días más tarde, GoDaddy envió otro e-mail a aquellos empleados que habían introducido sus datos en el formulario, informándoles de que habían fallado en el test de phishing i que, por ello, deberían tener que volver a realizar el cursillo para estar alerta ante prácticas de ingeniería social.
Unos 500 trabajadores de la compañía habían mordido el anzuelo, facilitando datos que, si el mail original lo hubiera mandado un ciberdelincuente, hubiera podido aprovecharlos en beneficio propio para intentar ganar acceso a alguno de los servicios o servidores de la empresa.
Que el eslabón más débil de la cadena de seguridad acostumbra a encontrarse en las personas es una máxima de la ciberseguridad. Y, por ello, las grandes compañías realizan formación a sus trabajadores y disponen de programas específicos para asegurarse que los ciberdelincuentes no explotan este lado de sus trabajadores, con pruebas como la que acabamos de explicar de GoDaddy.
No obstante, la acción ha provocado cierta controversia en Twitter (la red social de la discrepancia y el enfrentamiento por excelencia), tal y como explican desde Engadget, llevando incluso a clientes de GoDaddy a amenazar con cambiar de proveedor de servicios.
Las protestas han sido tales que incluso han llevado a la empresa a pedir disculpas públicamente. Uno de los motivos más esgrimidos para protestar contra esta práctica ha sido el hecho de que el mensaje mandado coincida con la proximidad de las vacaciones navideñas.
Pero, si precisamente algo nos ha enseñado la pandemia de COVID-19 y el confinamiento es que, precisamente, los ciberdelincuentes aprovechan las fechas y eventos señalados para lanzar sus trampas, por lo que el test de GoDaddy responde meticulosamente a la simulación de lo que se da en realidad.
Así las cosas ¿crees que esta empresa ha exagerado, o bien por el contrario ha dado una lección que permitirá reforzar su seguridad? ¿crees que desde la dirección se han ‘pasado’ con una simulación de ataque tan cercana a unas fechas de vacaciones, con lo que han vulnerado de alguna forma los derechos de sus trabajadores?
